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TEMA DA AULA EE 


3 . CONTROLES DE PROTEÇÃO 


3.1 MECANISMOS DE CONTROLE (FÍSICOS, LÓGICOS E 
ADMINISTRATIVOS) 


OBJETIVOS: 


- Relacionar tipos de controle de acesso à informação que minimizem a 
ocorrência de incidentes de segurança. 


E. E BS SESC E Eu SS ESSES ES E es SEE 


Situação-problema: TRANSFORMAR 


* Falhas de segurança e vazamento de dados são noticiados frequentes no 
mundo inteiro. 


* Com base no artigo publicado no Jornal “Diário do Nordeste em 2018: O 
Banco Inter teria sido objeto de uma extorsão, tomando como base 
informações de seus clientes. Os autores da ameaça exigiam pagamento 
para não colocar informações de 100 mil correntistas na internet. No 
mesmo dia, em nota, o banco prestou esclarecimentos. O Banco Inter foi 
vítima de tentativa de extorsão e imediatamente constatou que não houve 
comprometimento da segurança no ambiente externo e nem danos à sua 
estrutura tecnológica”. 


* E então, você utiliza serviços da Vivo, Whatsapp, Facebook? Eles também 
foram vítimas de ataques cibernéticos. 


Que tipos de controles as empresas devem adotar para minimizar as 
chances da concretização do ataque e a dimensão do impacto? 


* Artigo disponível em: (https://diariodonordeste.verdesmares.com.br/pais/ministerio-publicoabre-inquerito- 
para-apurar-vazamento-de-dados-do-banco-inter-1.1937804). 
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EDUCAR PARA 
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* O avanço tecnológico estimula as empresas independente do seu 
porte a acompanhar essa evolução a fim de se adequar e garantir seu 
crescimento no mundo virtual e físico. 


* Assim, profissionais de T.l e de Segurança da Informação são 
desafiados continuamente a identificar riscos e implementar 
controles a fim de minimizar a exploração de vulnerabilidade e 
consequentemente os impactos causados. 
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EDUCAR PARA 
TRANSFORMAR 


* Segundo a norma NBR ISO/IEC 27002:2005: 

* A segurança da informação é obtida a partir da implementação de um 
conjunto de controles adequados, incluindo políticas, processos, 
procedimentos, estruturas organizacionais e funções de software e hardware. 

* Esses controles precisam ser estabelecidos, implementados, monitorados, 
analisados criticamente e melhorados, onde necessário, para garantir que os 
objetivos do negócio e de segurança da organização sejam atendidos. 
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TIPOS DE CONTROLE | TRANSFORMAR 


* Lógicos (senhas, sistemas de biometria etc); 


* Físicos (leitores biométricos, câmeras, catracas, portas corta-fogo, 
etc); 


* Administrativos (Políticas de segurança). 


* Mas, como saber quais controles devem ser adotados”? 
* É necessários avaliar riscos em relação aos ativos organizacionais. 
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Controles de Acesso TRANSFORMAR 


Controle de Acesso i NTES 
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Sistemas de Controle de Acesso 


Quem tem as chaves da sua casa” 


As regras para controlar acesso a informação deve ser adotada pelas empresas via 
políticas de segurança. 


Mesmo que o usuário seja identificado e autenticado, ele deve visualizar somente as 
informações permitidas e de acordo com seu nível de hierarquia e responsabilidade 
dentro da empresa. 


Para isso é necessário restringir o acesso em relação a aplicações, arquivos e utilitários 
que o usuário pode ter acesso. 


O controle de acesso evita que as pessoas não autorizadas visualizem e editem dados 
que causem comprometimento a organização além de prevenir o roubo de informações 
confidenciais. 
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Sistemas de Identificação e EDUCAR PARA 


TRANSFORMAR 


Autenticação de Usuários 


Controle de Acesso 
* Ocontrole de acesso deve ser desenvolvido com base nos requisitos de 
negócio e segurança da organização. 


* Premissa: Tudo é proibido exceto o que é expressamente permitido. 


Quadro 2.1 R=lação c: 


privilegios e procuto. 


>e; z Permitico Permitido 
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, EDUCAR PARA 
Política de Segurança | ERES 


* A política de segurança é elaborar um documento que deverá conter 
as regras e procedimentos que os colaboradores e empresa deverão 
adotar, tais como: 

e Senhas; 

* Backup; 

e Privacidade; 

* Confidencialidade. 


* Após a definição do documento de políticas de segurança, elas deverão ser 
divulgadas para todos os funcionários da empresa e a partir de então devem 
ser praticadas. 
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Sistemas de Identificação e EOUGAR BAGA 
Autenticação de Usuários TRANSFORMAR 


* Com o surgimento e aumento das redes abertas como wi-fi, 
aumentou também o número de diversos crimes digitais, entre eles 
roubo de senhas e interceptação de dados confidenciais. 


* Dal a importância de utilizar meios de identificar e autenticar seus 
usuários, para tentar garantir a segurança de suas informações. 
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Sistemas de Identificação e EOUGAR BAGA 
Autenticação de Usuários TRANSFORMAR 


Há três categorias de autenticação de usuários: 


1. Autenticação por conhecimento: O que se sabe. Utiliza informações que 
somente o usuário saiba, tais como: senhas e perguntas pessoais. 


2. Autenticação por propriedade: O que se possui. Utiliza informações 
fornecidas por objetos físicos, como cartões magnéticos, chips, smart 
cards ou tokens. 


3. Autenticação por características: O que se é. Utiliza informações do 
usuário que o diferencia dos demais, por meio de um aspecto físico ou 
comportamental, como a prova por biometria. 


E. E BS SESC E Eu SS ESSES ES E es SEE 


Sistemas de Identificação e EOUGAR BAGA 
Autenticação de Usuários TRANSFORMAR 


e Senhas descartáveis 


* As senhas descartáveis são geradas automaticamente e tem validade de 
apenas alguns segundos. Assim que a senha expira, outra é gerada, o que 
dificulta o seu roubo e utilização. 


* Exemplo: Senhas geradas por tokens de bancos 
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Sistemas de Identificação e EOUGAR BAGA 
Autenticação de Usuários TRANSFORMAR 


* Biometria é a ciência que estuda as características comportamentais 
e físicas do ser humano por meios de medições biológicas. 


* Exemplos de características comportamentais: 


* Reconhecimento de assinaturas em cheques método bastante utilizado pelos 
bancos, porém a forma de escrita pode se alterar com o decorrer dos anos e 
em situações de estresse. 

* Esse tipo de autenticação está cada vez mais sendo substituídas pelas 
características físicas. 


* Exemplos de características físicas: 
* Impressão digital, íris (olhos), retina (olhos), voz, rosto, geometria da mão. 
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Sistemas de Identificação e 
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Autenticação de Usuários 


Proteção Perimetral 

Para definir uma proteção perimetral é importante que 
sejam definidas quais os pacotes de dados podem 
trafegar livremente na organização e quais deverão ser 
barrados. 

Alguns exemplos de mecanismos de proteção. 

* Agentes proxy 

* Firewall 

* Antivírus 

* Intrusion Detection systems (IDS) 


O mecanismo de proteção mais utilizado atualmente é o 
firewall. 

Um firewall é um software ou um hardware que confere 
informações originadas de uma rede ou da internet. 
Sua função é bloquear ou permitir que essas 
informações acessem um computador ou uma rede, 
dependendo da configuração realizada no firewall. 
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Regras de Firewall ATA pe 


Target Rules List (click here) * X 
ACCESS: 'wnnelist' - always pass; deny - block; alow - pass, if not blocked 


Target Categories 

folk BL adtv) access  — v 

felk BL aggressive] access deny v 

fblk BL alcohol) access v 

folk BL anonvpa) access v 

fblk BL zunomobie bikes] access v 

fblk BL ssomobie boss] access v 

folk, BL sunomobde cars) access — v 

[blk BL zunomobie planes) access = v 

Polk BL chat] access v 

fblk BL cosmraps] access  — v 

[blk BL dxing] access  — v 

felk BL downloads) access v 

Polk BL drugs) access deny v 

folk BL dynamic) access  — v 

folk BL education schools] access = v 

fblk BL finance banking] access v 

[be BL finance insurance) access v 

Elk BL finance moneyfending] access v 

felk BL finance other) access v 

folk BL finance realestate) access — vw 

felk BL finance trading) access v 

Polk BL fortunetelling] access v 

fik, BL. forum] access  — E 

folk BL gambio) access  —.. v 

felk BL govemment) access  ubiteliss v 
(ok BL socamet] access cer; v 
[Dk BL spyware] access deny v 
[blk BL tracker] acess — v 
[Dlk BL updatestes) acess — v 
[blk BL urishortener] access — v 
[Dk BL violence] access — v 
[blk BL warez] acess — v 
[blk BL weapons] e | . 
[blk BL webmail] acess | — v 
[blk BL webphone] acess — v 
[blk BL webradio) access — v 
[blk BL weber] aces — v 


Defauit access [al access alom Y 


Gestão de Riscos CNC DN 


* Os termos: riscos e ameaças organizacionais são situações externas, 
pertencentes ao tempo atual ou futuras, que, se não eliminadas, 
minimizadas ou evitadas pela empresa, podem (ou poderão) afetá-la 
negativamente. 


e No Livro “A Arte da Guerra”, o autor Zun Tsu coloca: 


* “Se conhecemos o inimigo (ambiente externo) e a nós mesmos (ambiente 
interno), não precisamos temer o resultado de uma centena de combates. 


* Se nos conhecemos, mas não ao inimigo, para cada vitória sofreremos uma 
derrota. 


* Se não nos conhecemos nem ao inimigo, sucumbiremos em todas as batalhas.” 
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Gestão de Riscos 


O risco é inevitável. Por exemplo, quando: 
* Investidores compram ações; 

* Cirurgiões realizam operações; 

* Engenheiros projetam pontes; 

* Empresários abrem seus negócios, etc. 


Ou seja, administrar os riscos — que sempre irão existir — torna-se estratégico e, além 
disto, pode vir a se transformar em oportunidades. Portanto, deve-se transcender o 
“medo aos riscos” para “saber lidar de forma estratégica com os riscos”. 
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Gestão de Riscos | IC Ri 


* Na área de tecnologia da informação e comunicação: 


* Risco é considerado como o impacto negativo, motivado pela exploração de 
uma vulnerabilidade, considerando a possibilidade e o impacto da sua 
ocorrência. 


* O processo para identificar, mensurar e planejar passos para reduzir 
um determinado risco a níveis aceitáveis pela organização é definido 
como Gerenciamento de Riscos (STONEBURNER, 2002 apud 
GONÇALVES, 2008, p. 15) 
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Gestão de Riscos 


Etapas da Gestão de Risco 


A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do 
PDCA, que nos permite entender a gestão do Risco como um processo continuo: 


jerar controles para tratar 
—  osriscos 


1 SAIBA MAIS 


Clique aqui e saiba mais 
sobre as Etapas da Gestão de Risco. 
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Gestão de Riscos TRANSFORMAR 


Tratamento dos riscos 


Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias 
classificações disponíveis para as medidas de proteção. Segundo Beal, uma classificação possivel &: 


Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente /ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua 
capacidade de gerar efeitos adversos na organização. 


Reduzem o impacto de um ataque/incidente. São medidas tomadas durante ou após a ocorrência do 
evento. 


Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, 
reduzi-lo ou impedir que se repita. 
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Gestão de Riscos TRANSFORMAR 


Riscos, medidas de segurança e o ciclo de segurança 


Segundo Sêmola, para um melhor entendimento da amplitude e complexidade da segurança, é comum estudarmos os desafios em camadas 
ou fases para tornar mais claro o entendimento de cada uma delas. Estas fases são chamadas de barreiras e foram divididas em seis. Cada 
uma delas tem uma participação importante no objetivo maior de reduzir os riscos, e por isso, deve ser dimensionada adequadamente para 
proporcionar a mais perfeita integração e interação: 


DETECTAR 
- DIAGNOSTICAR 
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Gestão de Riscos E Eça 


Barreira1: Desencorajar 


Esta é a primeira das cinco barreiras de segurança e cumpre o papel 
importante de desencorajar as ameaças. Estas, por sua vez, podem 
ser desmotivadas ou podem perder o interesse e o estimulo pela 
tentativa de quebra de segurança por efeito de mecanismos físicos, 


E a Você está sendo 
tecnológicos ou humanos. À simples presença de uma câmara de Filmado 


vídeo, mesmo falsa, de um aviso de existência de alarmes, já são 
efetivos nesta fase. 
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Gestão de Riscos TRANSFORMAR 


X 
Riscos, medidas de segurança e o ciclo de segurança. 


Barreira 02: Dificultar 


O papel desta barreira e complementar à anterior através da adoção 
efetiva dos controles que irão dificultar o acesso indevido. Podemos 
citar os dispositivos de autenticação para acesso físico, por exemplo. 
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Gestão de Riscos 


Riscos, medidas de segurança e o ciclo de segurança. | 


Barreira 03: Discriminar 


Aqui o importante é se cercar de recursos que permitam identificar e 
gerir os acessos, definindo perfis e autorizando permissões. Os 
sistemas são largamente empregados para monitorar e estabelecer 
limites de acesso aos serviços de telefonia, perímetros físicos, 
aplicações de computador e banco de dados. 
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Gestão de Riscos TRANSFORMAR 


Riscos, medidas de segurança e o ciclo de segurança. 


Barreira 04: Detectar 


Esta barreira deve munir a solução de segurança de dispositivos que 
sinalizem , alertem e instrumentem 05 gestores da segurança na detecção 
de situações de risco. Seja uma tentativa de invasão ou por uma possivel 
contaminação por virus, por exemplo. 
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rara 


Gestão de Riscos “FORMAR 


Riscos, medidas de segurança e o ciclo de segurança. 


Barreira 05: Deter 


Esta barreira representa o objetivo de impedir que a ameaça atinja os 
ativos que suportam o negócio. O acionamento desta barreira, 
ativando seus mecanismos de controle, é um sinal de que as barreiras 
anteriores não foram suficientes para conter a ação da ameaça. Neste 
momento, medidas de detenção, como ações administrativas, 
punitivas e bloqueio de acessos físicos e lógicos, são bons exemplos. 
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Gestão de Riscos TRANSFORMAR 


Riscos, medidas de segurança e o ciclo de segurança. 


Barreira 06: Diagnosticar 


Apesar de representar a última barreira no diagrama, esta fase tem um 
sentido especial de representar a continuidade do processo de gestão de 
segurança da informação. Cria o elo de ligação com a primeira barreira, 
criando um movimento cíclico e continuo. Devido a estes fatores é a 
barreira de maior importância. Deve ser conduzida por atividades de 
análise de risco que consideram tanto os aspectos tecnológicos quanto os 
físicos e humanos. 
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Vídeo: Truque de Mestre EDUCAR PARA 
TRANSFORMAR 


(A Melhor Cena do Filme: Truque de Mestre: O Segundo 
Ato, disponível em: 
(https://www.youtube.com/watch?v=pZcF40ZbB14)). 
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